samlSettings-Entität
Dieser Artikel enthält eine Vorlage und eine Referenz zur Konfiguration der serverweiten SAML in Tableau Server mithilfe einer Konfigurationsdatei mit Schlüsseln und Werten für die samlSettings
-Entität. Diese Informationen dienen als Ergänzung zu den in Konfigurieren der serverweiten SAML beschriebenen SAML-Konfigurationsschritten.
Führen Sie die folgenden Schritte zum Erstellen einer SAML-Konfigurationsvorlage und Anwenden dieser Vorlage in Tableau Server aus:
Lesen Sie die folgenden beiden Abschnitte (Vorlagenkategorien und Definitionen und samlSettings-Konfigurationsvorlage), in denen die Vorlage und deren Struktur beschrieben wird.
Fügen Sie den in der Vorlage angezeigten JSON-Code in eine neue Textdatei ein und speichern Sie diese mit der Erweiterung .json ab.
Verwenden Sie die Referenz für die SAML-Konfigurationsentität. Diese hilft Ihnen, dort Werte bereitzustellen, wo es erforderlich ist.
Fügen Sie optional Schlüssel/Wert-Paare hinzu, die für Ihre Umgebung spezifisch sind. Wenn beispielsweise für Ihre SAML-Zertifikatsschlüsseldatei eine Passphrase erforderlich ist, müssen Sie das Kennwort im Parameter
wgserver.saml.key.passphrase
mithilfe des Befehls tsm configuration set angeben.
Vorlagenkategorien und Definitionen
Die Vorlage verwendet Platzhalter für jeden Schlüsselwert. Diese Platzhalter sind wie folgt kategorisiert:
Erforderlich: Attribute mit dem Wert
"required"
müssen durch gültige Daten ersetzt werden, bevor Sie den Konfigurationsbefehl ausführen. Gültige Werte können Sie der Referenz für die Konfigurationsdatei entnehmen.Vorprogrammiert: Attributnamen, denen ein Unterstrich (_) vorangestellt ist, wie beispielsweise
"_type"
enthalten vorprogrammierte Werte. Ändern Sie diese Werte nicht.Standardwerte: Attribute, die auf einen Wert festgelegt sind, der nicht
"required"
ist, sind Standardwerte. Dies sind erforderliche Werte, die Sie entsprechend Ihrer Umgebung ändern können.Leere Sätze: Werte, die leer (
""
) sind, können unverändert übergeben werden. Sie können auch einen Wert für Ihre Installation angeben.
Wichtig: Bei allen Entitätsoptionen wird zwischen Groß- und Kleinschreibung unterschieden.
samlSettings-Konfigurationsvorlage
Fügen Sie diesen Code in eine Textdatei ein und passen Sie ihn unter Verwendung der nachfolgenden Referenz an Ihre Umgebung an.
{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }
Referenz für die SAML-Konfigurationsentität
Die folgende Liste enthält alle Optionen, die Sie mit dem "samlSettings"
-Entitätssatz einbeziehen können.
idpMetadataFile
Erforderlich. Der Pfad und der Dateiname der XML-Datei, die durch den IdP generiert wurde. Die XML-Metadaten müssen das Benutzernamenattribut enthalten (Assertion).
Wenn Sie die unter Konfigurieren der serverweiten SAML beschriebenen Schritte ausgeführt haben, geben Sie hier folgenden Wert ein:
/var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>
enabled
true | false
Erforderlich. Gibt an, ob die SAML-Authentifizierung aktiviert ist. Legen Sie diese Option erst auf
true
fest, nachdem Sie andere erforderliche SAML-Konfigurationsoptionen festgelegt haben.
returnURL
Dies ist in der Regel die externe URL, die Benutzer von Tableau Server in ihren Browser eingeben, um auf den Server zuzugreifen, zum Beispiel
https://tableau_server.example.com
. Dieser Wert wird verwendet, um das ACS-URL-Attribut beim Konfigurieren des IdP zu erstellen.
entityId
Erforderlich. Entitäts-ID-Wert des Dienstanbieters (in diesem Fall Tableau Server).
Identifiziert Ihre Tableau Server-Konfiguration für den IdP. Es wird empfohlen, denselben Wert wie für die Option
returnURL
einzugeben.
idpUsernameAttribute
Erforderlich. Suchen Sie in den IdP-Metadaten das Attribut, das zum Festlegen von Benutzernamenswerten verwendet wird, und geben Sie den Namen dieses Attributs ein. Der Standardwert lautet
username
.
certFile
Erforderlich. Geben Sie den Speicherort und den Dateinamen der x509-Zertifikatdatei (.crt) für SAML an. Beispiel:
/var/opt/tableau/tableau_server/data/saml/<file.crt>
Weitere Informationen finden Sie unter SAML-Anforderungen und Konfigurieren der serverweiten SAML.
keyFile
Erforderlich. Geben Sie den Speicherort des privaten Schlüssels (.key) an, der die Zertifikatdatei ergänzt. Beispiel:
/var/opt/tableau/tableau_server/data/saml/<file.key>
Hinweis: Wenn Sie einen RSA PKCS-8-Schlüssel verwenden, der eine Passphrase erfordert, müssen Sie die Passphrase mithilfe einer configKey-Entität (siehe Beispiel für eine Konfigurationsdatei) oder mit tsm configuration set festlegen. Der Schlüssel für die Passphrase mit diesen Methoden ist
wgserver.saml.key.passphrase
. Der Wert muss eine Zeichenfolge ungleich null sein.
idpDomainAttribute
Für Organisationen, die LDAP oder Active Directory verwenden, gibt dieser Wert an, auf welches SAML-Attribut Tableau Server verweist, um den Domänennamen zu bestimmen. Wenn Ihr IdP beispielsweise den Domänennamen im Attribut
domain
angibt, geben Siedomain
für diesen Wert an. Hinweis: Für Organisationen, in denen sich Benutzer von mehreren Domänen aus anmelden, ist dieser Wert erforderlich.Wenn Sie keinen Wert für diesen Schlüssel bereitstellen, hängt der verwendete Wert von den Identitätsspeichereinstellungen von Tableau Server ab:
Bei einem lokalen Identitätsspeicher wird der Wert
idpDomainAttribute
ignoriert.Für Active Directory- oder LDAP-Identitätsspeicher verwendet Tableau den FQDN aus der Konfigurationseinstellung
wgserver.domain.default
.Um den Wert für
wgserver.domain.default
abzurufen, können Sie den folgenden Befehl ausführen:tsm configuration get --key wgserver.domain.default
desktopNoSAML
true | false
Optional. Ermöglicht Benutzern, bei der Anmeldung über Tableau Desktop die SAML-Authentifizierung zu verwenden.
Standardmäßig ist dies nicht festgelegt, daher entspricht das Verhalten dem Wert "false". Wenn die Single Sign-on-Funktion von Tableau-Clientanwendungen bei Ihrem Identitätsanbieter nicht funktioniert, können Sie diese Einstellung auf "true" festlegen, um die SAML-Authentifizierung über Tableau Desktop zu deaktivieren.
appNoSAML
true | false
Optional. Erlauben Sie die Verwendung von SAML bei der Anmeldung über ältere Versionen der Tableau Mobile-App. Diese Option wird von Geräten mit Tableau Mobile Version 19.225.1731 und höher ignoriert. Um Geräte zu deaktivieren, auf denen Tableau Mobile App Version 19.225.1731 und höher ausgeführt wird, deaktivieren Sie SAML als Client-Anmeldeoption auf Tableau Server.
logoutEnabled
true | false
Optional. Aktiviert die einmalige Abmeldung für Benutzer, die sich mit SAML angemeldet haben. Der Standardwert lautet
true
.Die IdP-Konfigurationsmetadaten müssen einen einzelnen Endpunkt für die Abmeldung mit POST-Bindung enthalten.
Diese Einstellung gilt nur für serverweite SAML.
Wenn sie auf
false
festgelegt ist, versucht Tableau Server keine einmalige Abmeldung.
logoutUrl
Optional. Geben Sie die URL für die Umleitung an, nachdem sich Benutzer beim Server abgemeldet haben. Für das Festlegen dieser Option muss
logoutEnabled
auftrue
festgelegt sein.Standardmäßig ist dies die Seite für die Anmeldung bei Tableau Server. Sie können eine absolute oder eine relative URL angeben.
maxAuthenticationAge
Optional. Gibt die Anzahl Sekunden an, die maximal zwischen der Authentifizierung eines Benutzers beim IdP und der Verarbeitung der AuthNResponse-Meldung erlaubt sind. Der Standardwert ist -1, was bedeutet, dass maxAuthenticationAge standardmäßig nicht festgelegt oder ignoriert wird. Vor Februar 2022 war der Standardwert 7200 (2 Stunden).
Verwenden Sie zum Optimieren der Sitzungslänge denselben Timeoutwert wie für den IdP festgelegt ist.
maxAssertionTime
Optional. Gibt die maximale Anzahl der Sekunden seit Erstellung an, für die eine SAML-Assertion verwendet werden kann. Der Standardwert beträgt 3.000 (50 Minuten).
sha256Enabled
true | false
Optional. Der Signaturtyp, den Tableau Server beim Senden von Nachrichten an den IdP verwendet. Wenn die Einstellung auf
true
festgelegt ist, signiert Tableau Server Nachrichten mit dem Signaturalgorithmus SHA 256. Wenn die Einstellung auffalse
festgelegt ist, signiert Tableau Server Nachrichten mit SHA 1. Der Standardwert lautettrue
.Mit dieser Option wird der Signaturalgorithmus auf die folgenden Nachrichten festgelegt, die Tableau Server signiert:
- AuthnRequest-Nachrichten, wenn
signRequests
aktiviert ist. - LogoutRequest-Nachrichten, wenn
logoutEnabled
aktiviert ist.
- AuthnRequest-Nachrichten, wenn
signRequests
true | false
Optional. Gibt an, ob Tableau Server die AuthnRequests signiert, die an den IdP gesendet werden. Signierte Anforderungen sind nicht immer für alle IdPs erforderlich. Es wird empfohlen, Anforderungen zu signieren, um die sicherste Option beim Konfigurieren von SAML sicherzustellen. Wenn Sie überprüfen möchten, ob Ihr IdP signierte Anforderungen akzeptiert, prüfen Sie die IdP-Metadaten: wenn
wantAuthnRequestsSigned
auftrue
festgelegt ist, akzeptiert Ihr IdP signierte Anforderungen.Der Standardwert lautet
true
. Wenn Sie signierte Anforderungen deaktivieren möchten, legen Sie diese Option auffalse
fest.
acceptableAuthnContexts
Optional. Legt das SAML-Attribut
AuthNContextClassRef
fest. Dieses optionale Attribut erzwingt die Validierung bestimmter Authentifizierungskontexte in vom IdP initiierten Schemata. Legen Sie einen durch Kommas getrennten Satz mit Werten für dieses Attribut fest. Ist dieses Attribut festgelegt, überprüft Tableau Server, ob die SAML-Antwort mindestens einen der aufgeführten Werte enthält. Wenn die SAML-Antwort keinen der konfigurierten Werte enthält, wird die Authentifizierung abgelehnt, auch wenn der Benutzer sich erfolgreich beim IdP authentifiziert hat.Wenn Sie diese Option leer lassen, führt dies zu einem Standardverhalten: Erfolgreich authentifizierte SAML-Antworten führen dazu, dass einem Benutzer eine Sitzung in Tableau Server gewährt wird.
iFramedIdpEnabled
true | false
Optional. Der Standardwert lautet
false
. Das bedeutet, dass sich das Anmeldeformular des IdP in einem Pop-up-Fenster öffnet, wenn Benutzer auf die Anmeldeschaltfläche in einer eingebetteten Ansicht klicken.Wenn Sie den Wert auf "true" (wahr) setzen, muss sich ein bereits angemeldeter Server-SAML-Benutzer, der zu einer Webseite mit einer eingebetteten Ansicht navigiert, nicht erneut anmelden, um die Ansicht anzuzeigen.
Sie können diesen Wert nur dann auf "true" setzen, wenn der IdP die Anmeldung in einem iframe unterstützt. Die iframe-Option bietet weniger Sicherheit als die Verwendung eines Pop-up-Fensters, daher wird sie nicht von allen IdPs unterstützt. Falls die IdP-Anmeldeseite wie die meisten Seiten über einen Klickbetrug-Schutz verfügt, kann die Anmeldeseite nicht in einem iframe angezeigt werden, und der Benutzer kann sich nicht anmelden.
Wenn Ihr IdP eine Anmeldung über einen iframe unterstützt, müssen Sie die Funktion unter Umständen explizit aktivieren. Selbst wenn Sie diese Option nutzen können, wird dadurch der Klickbetrug-Schutz von Tableau Server für SAML deaktiviert, sodass dies weiterhin ein Sicherheitsrisiko darstellt.
Übergeben der Konfigurationsdatei an Tableau Server
Verwenden Sie die folgenden Befehle, um die .json-Datei zu übergeben und die Anwendungen in Tableau Server anzuwenden, nachdem Sie einen entsprechenden Wert für jede Entität bereitgestellt haben, die Sie in die Konfigurationsvorlage eingefügt haben.
tsm settings import -f path-to-file.json
tsm pending-changes apply
Siehe auch
Verwenden Sie nach Abschluss der ersten SAML-Konfiguration tsm authentication mutual-ssl <commands>, um weitere Werte festzulegen.
Eine Befehlszeilenreferenz zur Konfiguration von SAML finden Sie unter tsm authentication saml <commands>.